آیا قربانیان هک NFT باید توسط سازندگان غرامت دریافت کنند؟

هک رسانه‌های اجتماعی در جامعه NFT در حال افزایش است

و اخیراً به ندرت می‌توان شاهد گذشت یک یا دو روز بدون اینکه پروژه مهم یا حساب سازنده به خطر بیفتد.

برای کلکسیونرها، عواقب آن می تواند قابل توجه باشد: کاربرانی که با کلاهبرداری های به اشتراک گذاشته شده توسط حساب های هک شده درگیر می شوند، مجموعاً میلیون ها دلار از کلکسیون های NFT و سایر توکن ها را از دست داده اند، همه اینها به این دلیل است که کیف پول خود را به چیزی که فکر می کردند یک ادعای مشروع NFT یا توکن است متصل کرده اند.

راه‌حل در این موارد چیست و سازندگان NFT چه مسئولیتی در قبال مجموعه‌داران دارند وقتی حساب‌هایشان هک می‌شود و برای انجام کلاهبرداری استفاده می‌شود؟ در برخی موارد، سازندگان پروژه NFT به کاربران آسیب دیده، معمولاً با بازپرداخت ارزش بازار کلکسیون‌های موجود در اتریوم، غرامت را جبران کرده‌اند.

افزایش حملات

تنها در چند هفته گذشته، حساب‌های رسانه‌های اجتماعی چندین پروژه، سازندگان و کلکسیونرهای مهم NFT هک شده و برای انتشار لینک‌های کلاهبرداری استفاده شده است. هنگامی که افراد با این پیوندها درگیر می شوند، کیف پولی را متصل می کنند و تراکنش درخواستی را تأیید می کنند، آن ها را در معرض سرقت NFT ها و سایر توکن هایشان قرار می دهد.

نمونه‌های اخیر چنین حملاتی شامل پروژه Ethereum NFT Nouns است که حساب توییتر آن در 27 ژوئن به خطر افتاد. در مجموع، NFT‌هایی به ارزش تقریباً 42 ETH (64000 دلار امروز) از 25 کاربر که با پیوند به اشتراک‌گذاشته‌شده توسط مهاجمان درگیر بودند به سرقت رفت.

کلکسیونر و معامله گر مستعار NFT Zeneca در این هفته حساب توییتر خود را نیز در معرض خطر قرار داد، اگرچه میزان خسارت وارده به کاربران مشخص نیست. حساب توییتر هنرمند DeeKay نیز اخیراً همراه با مجموعه‌داران مشهور Franklin و Keyboard Monkey هک شده است.

در اینجا یک لیست در حال اجرا از حساب‌های توییتر است که اخیراً در معرض خطر قرار گرفته‌اند: Beeple، DeekayMotion، Zeneca، Nouns DAO، Keyboard Monkey، FranklinIsBored، ارتش بریتانیا، Jenkins Valet، Duppies، DegenTown، pic.twitter.com/h7TjwVIZ4N

به گفته هری دنلی، تحلیلگر امنیتی MetaMask، حساب مایک «بیپل» وینکلمن هنرمند در اواخر ماه مه هک شد و به گفته هری دنلی، تحلیلگر امنیتی متاماسک، توکن‌ها و NFT‌هایی به ارزش 438 هزار دلار از کاربران به سرقت رفتند. Beeple هیچ اشاره ای به غرامت برنامه ریزی شده برای کاربران آسیب دیده نکرد.

حساب توییتر جنکینز والت، پروژه ای از آزمایشگاه های تالی بر اساس Bored Ape Yacht Club NFT، هک شد و در ژوئن تصرف شد. سازندگان گفتند که کاربران Bored Apes، Mutant Apes و دیگر NFT های ارزشمند را از طریق این اکسپلویت از دست داده اند و این کار بر اساس قیمت کف (یا ارزان ترین NFT موجود) برای هر پروژه به کاربران جبران می کند.

یکی از برجسته‌ترین نمونه‌های تا به امروز از هک رسانه‌های اجتماعی از یک پروژه بزرگ NFT، خود Bored Ape Yacht Club است که در ماه آوریل اکانت اینستاگرام خود را با یک لینک ضرابخانه جعلی در معرض خطر قرار داد. آزمایشگاه یوگا ارزش NFT های سرقت شده را حدود 2.8 میلیون دلار تخمین زد و گفت که در حال تلاش برای برقراری ارتباط با کاربران آسیب دیده است.

هیچ تضمینی نیست

جالب اینجاست که در برخی از موقعیت‌های فوق، حتی سازندگانی که به کاربران جبران خسارت می‌کردند، نسبت به انجام این کار، حداقل در درازمدت، ابراز تردید کردند یا گفتند که دیگر این کار را انجام نخواهند داد.

در یک حساب پس از مرگ، نام مستعار Nouns co-creator 4156 به کمبودهایی در تنظیمات امنیتی آن اشاره کرد، مانند عدم وجود مجوز دو عاملی یا طرحی برای مقابله با حملات. او غرامت را به عنوان “عمل سرقفلی یکباره” و “ضمانتی نیست” که خزانه داری اسامی به کاربران در هر موقعیت مشابه بازپرداخت می کند، توصیف کرد.

با توجه به هک توییتر @nounsdao، برای من روشن نیست که عادی سازی بازپرداخت راه رو به جلو است.

«در حالی که گفتن اینکه مردم نباید به خاطر فریب خوردن از طریق حساب شما بازپرداخت شوند، بد است، اما این کاربران در تلاش برای کسب درآمد سریع در فعالیت‌های بی‌حساب شرکت می‌کنند و در نهایت پیام‌هایی را امضا می‌کنند که [برداشت‌ها] را مجاز می‌کنند. ] از کیف پول آنها،» 4156 در یک موضوع پیگیری هفته گذشته نوشت.

او اضافه کرد که اکثر کاربرانی که به دنبال جبران خسارت هستند

وی افزود کاربران رمزنگاری بسیار ساده بودند و بسیاری نتوانستند ثابت کنند که تحت تأثیر قرار گرفته‌اند. او از این تجربه “با این احساس که بازپرداخت یک کمک باند روابط عمومی کوتاه مدت است” برای هک ها کنار آمد و “عادی کردن بازپرداخت انگیزه مسئولیت شخصی را از بین می برد.”

در مورد Premint، بنیانگذار Brenden Mulligan به طور خاص گفت که این پروژه به کاربران بازپرداخت می کند زیرا حمله در وب سایت آن اتفاق افتاده است نه یک کانال رسانه اجتماعی. او به طور مشابه به OpenSea اشاره کرد که در ماه ژانویه به کاربران به دلیل مشکل رابط کاربری در بازار خود، که منجر به فروش ناخواسته NFT ها به کمتر از ارزش بازار شده بود، به کاربران پرداخت.

برای ما، شخصی یک فایل را در Premint دستکاری کرد و توانست یک UI را در وب سایت ما راه اندازی کند. ما مالک آن خواهیم بود. ما نباید اجازه می‌دادیم این اتفاق بیفتد، بنابراین سعی می‌کنیم جبران کنیم.» هنوز این بحث وجود دارد که مردم باید مراقب باشند، اما در این موارد، من فکر می‌کنم غرامت گزینه‌ای است که باید در نظر گرفته شود.»

با این حال، مولیگان با ایده پرداخت غرامت به کاربرانی که NFT ها را از طریق پیوندهای کلیک شده در پلتفرم های رسانه های اجتماعی از دست می دهند، مخالف است. او معتقد است که حملات از طریق حساب‌های توییتر Zeneca و DeeKay تقصیر مربوط به آنها نبوده و در توییتی نوشت که «پرداخت به قربانیان در بیشتر موارد نباید انجام شود. این باید مسئولیت فرد باشد.»

مولیگان به Decrypt گفت: «مردم باید مراقب امنیت خود باشند. نود و نه درصد از کلاهبرداری‌ها به این دلیل است که مردم توجه نمی‌کنند و سعی می‌کنند بدون فکر کردن به چیزی دست بزنند.»